Die Illusion eines simplen Systems
Alle reden von steigender Komplexität, die sich ja unter anderem in der Anzahl der Teile manifestiert. Doch dann kommen Produkte wie der Citroen Ami auf den Markt, eines scheinbar simplen Systems, der angeblich aus nur 250 Einzelteilen besteht. Wie ist das möglich? Die Antwort ist recht offensichtlich, jedes der Einzelteile ist selbst hochkomplex. Dieser Trend – das Verbauen von komplexen Einzelteilen – hat viele Vorteile, birgt aber auch Gefahren.
Bevor ich ins Detail gehe, möchte ich noch auf eine laufende Umfrage zu diesem Thema der GfSE hinweisen:
Die Prozesswerk GmbH hat gemeinsam mit der Gesellschaft für Systems Engineering e.V. einen Fragebogen zur unternehmensweiten Einführung von Systems Engineering entwickelt. Bereits 2018 befragten sie insgesamt 176 Teilnehmer aus unterschiedlichen Branchen, wie Automobilindustrie, Luft- und Raumfahrt, Landmaschinenbau oder Automatisierungstechnik, hinsichtlich des Status der Einführung von Systems Engineering in Unternehmen. (Download der Studie von 2018).
Auch dieses Jahr gibt es eine Umfrage. Die Ergebnisse werden unter anderem hier im Blog veröffentlicht. Insofern bedanke ich mich jetzt schon bei allen Lesern für eine rege Beteiligung.
Modulare Systeme sind nicht selbstverständlich
Gerade bei industriellen Produkten, die lange Lebenszyklen haben, wird ein Unternehmen nicht leichtfertig eine neue Produktlinie starten Dazu zählen Produkte wie Flugzeuge, Fahrstühle, Schiffe, etc. Hier fehlt oft noch das ganzheitliche Systems Engineering, wenn bestehende Produkte von Kunde zu Kunde einfach nur etwas angepasst wurden. Da kann es passieren, dass wir heute auch bei „Neuentwicklungen“ lediglich angepassten Entwürfen aus den 1970ern begegnen.
Ein gutes Beispiel dafür ist Boeing, die die 737 seit den 1960ern bis heute inkrementell weiterentwickelt hat. Dabei trugen unter anderem die Defizite im SE und der Mangel an Modularität zu den schweren Unfällen der 737-MAX bei. Verursacht wurden die Probleme – ironischerweise – von einer Komponente, den Triebwerken. Die neuen, effizienten Triebwerke konnten nicht in der optimalen Position unter den Flügeln montiert werden, da nicht genug Platz zum Boden bestimmt. Dieses Schnittstellenproblem hat zu einer Reihe von Designentscheidungen geführt, die letztendlich zu zwei tödlichen Unfällen geführt haben.
Auch wenn es nicht immer angewendet wird, so haben wir heute das Know How, modulare, wartbare und erweiterbare Systeme zu entwickeln. Genau dafür gibt es schließlich das Systems Engineering. Verschiedene Taktiken unterstützen gerade den Aspekt der Modularität. Dazu gehören saubere Schnittstellen und Kapselung.
Citroën Ami: Ein Auto aus 250 Teilen
e-engine
Ein aktuelles Beispiel ist der Citroën Ami, der aus nur 250 Teilen besteht. Unklar ist dabei, was genau ein „Teil“ ist. Ich vermute mal, dass bspw. der Elektromotor als ein „Teil“ angesehen wird. Der Motor besteht jedoch wieder aus vielen Einzelteilen. Aber unter Systems Engineering-Gesichtspunkten ist der Motor ein monolithisches Teil: wenn er nicht mehr funktioniert, dann wird er als Einheit ausgetauscht. Trotzdem versteckt sich hinter dem Motor ein weiteres komplexes System, welches wahrscheinlich aus hunderten von Teilen besteht. Olivier de Weck hat sehr anschaulich in seiner Arbeit gezeigt, dass die Komplexität eines Systems unabhängig davon ist, wie wir es schneiden.
Undichte Komponenten
Problematisch wird dieser Ansatz, wenn die Komponenten nicht wirkliche „Black Boxes“ sind. Wenn also Implementierungsdetails aus dem System über die Systemgrenzen nach außen treten. Ein Beispiel aus dem täglichen Leben ist die klassische Glühbirne mit E27-Fassung, einem nun wirklich simplen System. Die Glühbirne hat eine einzige Funktion, beleuchten. Die Glühbirne hat eine klar definierte physikalische Schnittstelle, den Sockel mit entsprechendem Gewinde und elektrischen Kontakten. Zuletzt haben wir noch die elektrische Schnittstelle, also Spannung, Leistung, etc. Wenn ich nun ein nicht-dimmbares LED-Leuchtmittel in eine Lampe schraube, die mit einem klassischen Dimmer arbeitet, dann funktioniert das Gesamtsystem nicht wie erwartet. Hier kann man sich streiten wer Schuld daran hat, aber: Ein Implementierungsdetail (LED) beeinträchtigt die Gesamtfunktion, obwohl das verbaute System (Glühbirne) eigentlich eine „Black Box“ sein sollte.
Die LED am Dimmer ist ein harmloses Beispiel. In der Praxis können gerade bei komplexen Systemen unerwartete und teilweise gefährliche Nebenwirkungen auftreten, wenn sich eine austauschbare Komponente als doch nicht so austauschbar herausstellt.
Nicht nur die funktionale Sicherheit ist dabei ein Problem, auch die Angriffssicherheit. Eine unsichere Komponente, zum Beispiel in einem Netzwerkrouter oder Smartphone, kann das gesamte System kompromittieren. Auf der ECS 2018 wurde dieses Thema im Kontext von IoT-Geräten heiß diskutiert. Eine mögliche Lösung (zumindest für Software) ist das signieren von Komponenten.
Was tun?
Komponenten sind eine feine Sache und erleichtern uns das Leben drastisch. Insofern sind wir auf dem richtigen Weg. MBSE ist einer (von mehreren) Enablern für komponentenbasiertes Arbeiten. Hier wäre zu begrüßen, wenn die Black-Box-Spezifikation von Komponenten in einem standardisierten Format elektronisch lesbar vorliegen würde. Eine mögliche Lösung ist das SpecIF-Format, um nur eines zu nennen.
Doch noch wichtiger ist es, bei Komponenten defensiv zu arbeiten: Wir dürfen nicht erwarten, dass eine Komponente sich korrekt verhält. Das System muss fehlerhaftes Verhalten einer Komponente weich abfangen. Das wiederum bedeutet, dass es mit ausführlichem Testen bei der Integration nicht getan ist: Das korrekte Verhalten muss zur Laufzeit überprüft und das Gesamtsystem vor Fehlverhalten einer Komponente geschützt werden.
Das ist aber ein kleiner Preis verglichen mit den vielen Vorteilen, die uns Komponenten geben. Daher wünsche ich mir mehr komplexe Produkte auf dem Markt, die aufgrund der kleinen Anzahl von Teilen uns die Illusion eines simplen Systems geben.
Bildquelle: GE Aviation Media Assets
